据我所知,网站黑客攻击,基本有两种:
一,SQL注入
这种方法主要通过URL,通过修改URL里的参数,比如写入数据库常用命令,测试网站漏洞.
解决方案如下:
1,伪静态,网站URL是静态地址,不带参数,攻击者无从下手,或者无法确定网站使用的什么编程语言与数据库.
2,代码中加入get参数检测,如果发现URL参数中有特殊符号,
比如:= ' "" ,
发现上述符号,直接跳转404页面.
二,xss跨站攻击
这种方法主要通过javascript实现.
比如你的网站可以留言,或者可以发布文章.
攻击者会在留言内容中写入<script>alert("我是黑客,哈哈哈")</script>
发布成功之后,当其他用户访问这个网页,就会弹出消息框,"我是黑客,哈哈哈"
当然,弹出消息框只是恶作剧,如果攻击者利用js代码实现网页跳转或者加载一些违法信息,你的网站就有麻烦了.
解决方案如下:
发布文章的时候,要检测文章内容,去除script代码.